ALLARME CYBERSECURITY: PROTEGGERE I SISTEMI GRAZIE A FORMAZIONE E GOVERNANCE

AL CONVEGNO NAZIONALE AIIC 2022 DIALOGO TRA ALCUNI TRA I MASSIMI ESPERTI INTERNAZIONALI DI SICUREZZA INFORMATICA HEALTHCARE

www.convegnonazionaleaiic.it

RICCIONE, 14 GIUGNO 2022 – “Alcuni anni fa una catena di supermercati è stata attaccata dagli hacker attraverso i sistemi da remoto di gestione del condizionamento dell’aria. Anche un casinò è stato aggredito attraverso il sistema che controllava l’alimentazione dei pesci nell’acquario: se gli hacker riescono a sfruttare queste imprevedibili porte d’ingresso, è ovvio che anche la sanità – con i suoi mille accessi – è un obiettivo raggiungibile e facilmente vulnerabile per scopi di pirateria informatica”: l’ha affermato durante la sessione dedicata alla Cybersecurity in sanità all’interno del XXII Convegno AIIC (in corso di svolgimento a Riccione) Claudio Telmon, componente del Comitato direttivo della Società italiana della sicurezza informatica (Clusit).

La frontiera della sicurezza informatica è una delle grandi sfide della sanità digitalizzata ed è al centro del dibattito dell’evento AIIC. Negli ultimi mesi propri gli attacchi dei criminali informatici ai centri di gestione dei dati sanitari sono diventati più frequenti. Lazio e Veneto ne hanno fatto recentemente le spese, con dati sanitari bloccati, richieste di riscatto e task force organizzate per garantire servizi e normali procedure amministrative. Perchè questi fenomeni di criminalità digitale sempre più frequenti in sanità? Ha precisato Telmon: “Le tecnologie sempre più diffuse in questo ambito sono la spiegazione di queste aggressioni: i dispositivi medicali sono vulnerabili perché la parte informatica di un dispositivo medico spesso non è curata e protetta con la stessa attenzione di altri sistemi IT. Dispositivi indossabili e impiantabili sono molto accessibili per come trasmettono i dati: ad esempio, le pompe insuliniche sono raggiungibili attraverso la supply chain di aggiornamento, come anche il bluetooth di un pacemaker è estremamente vulnerabile. Sono poi da considerare le strutture di telemonitoraggio e telemedicina e tutti quei sistemi basati su connettività che passa attraverso soluzioni in cloud. Questi sono elementi facilmente accessibili per chi ha intenzioni criminali”.

E’ stato Luca Giobelli (Azienda Zero Veneto) a riportare l’esperienza vissuta nello sviluppo di risposte agli attacchi ad una ULSS attaccata da hackers: nell’immediato è stata messa a punto una taskforce centrale per identificare ruoli e livello di maturità della sicurezza cibernetica, carenze e possibili servizi di sicurezza da implementare. A medio termine, si è investito nel controllo e implementazione delle azioni prioritarie, mentre a lungo termine è stato presentato un piano in base per la definizione di un modello organizzativo e operativo con corsi di formazione e di awareness.

La formazione ha quindi un ruolo centrale nello sviluppo di risposte precise agli attacchi degli hacker. Elemento sottolineato anche nella visione di Lee Kim (Senior principal cybersecurity and privacy dell’organizzazione di ricerca HIMMS) che da una prospettiva internazionale ha sottolineato l’importanza dell’aggiornamento continuo degli operatori, che devono essere preparati a riconoscere un attacco ed a condividerne con i colleghi le possibili conseguenze; ed a questa ha aggiunto l’importanza “di una cultura di governance basata sulla sicurezza, perché ogni organizzazione deve avere attenzione per procedure e management”. Stephen Grimes (senior advisor presso la Univerity of Connecticut per l’insegnamento agli ingegneri clinici e past president dell’Associazione Americana di Ingegneria Clinica-Acce) ha rilanciato il tema dell’alta competenza professionale: “Abbiamo una serie di sfide nel settore e sappiamo che nessun paese può risolvere il problema da solo: forse un’Agency internazionale potrebbe essere una risposta a questa emergenza. A mio modo di vedere tutti gli operatori sanitari dovrebbero avere informazioni di base in cybersecurity, dall’infermiere all’ingegnere clinico. Serve quindi la creazione di competenze adeguate perché le conseguenze della cybersecurity nell’healthcare sono diverse e pesantissime”.

Oltre alla formazione c’è però un impulso da dare a regole e strumenti per garantire sicurezza e qui l’Europa è in affanno. Su questo tema Fabio Cubeddu (Confindustria dispositivi medici) ha ricordato che anche all’interno dei recenti regolamenti europei non c’è chiarezza: “Attualmente il fabbricante per garantire sicurezza deve fare riferimento alla nuova banca dati Eudamed, ed alla Post Marketing Surveillance, ma si tratta di due riferimenti ancora non completamente operativi”. Le aziende produttrici sono oggi tenute ad analizzare rischi e incidenza per gravità di impatto di un attacco informatico al dispositivo per tutta la fase di vita del dispositivo, sin dalla sua progettazione. Ma a fronte di una evidente incertezza regolatoria il mercato non sa bene ad oggi come comportarsi. “Di fronte alle tante problematiche ci attendiamo sia scelte centrali decise e nette, che anche un impulso da parte dei progetti del PNRR”, ha concluso Maurizio Rizzetto (referente per l’ambito Cybersecurity di AIIC), “Formazione, competenze, professionalità fanno la differenza, ma ci serve un ambito di riferimento e una completa condivisione di esperienze. Gli ingegneri clinici sono pronti ad attivarsi, insieme a tutti gli altri professionisti del settore, per garantire il massimo della sicurezza nella gestione delle reti e dei devices, ma occorre far fronte comune, altrimenti – come abbiamo già visto – gli hacker riescono ad entrare dalle porte meno prevedibili dei sistemi”

Ufficio Stampa e Comunicazione AIIC
Walter Gatti